多種サービス間でBASEを保証するための 更新トランザクションの設計

トップエスイー修了制作
多種サービス間でBASEを保証するための
更新トランザクションの設計ルールと検証手法
髙鶴哲也
NTTコムウェア株式会社
takatsuru.tetsuya@nttcom.co.jp
開発における問題点
手法・ツールの適用による解決
多くのサービスが連携するサービス群全体で
BASEを保証するには,各サービスの全ての更
新トランザクションがリトライ可能な設計になっ
ている必要がある.しかし,それをレビューやテ
ストで網羅するのは困難である.
業務系に多いRDBを使うシステムを対象とした
検証モデルを定理証明支援系Coqの上に構築
し,SQL文と設計から検証コードに機械的に写し
取ったものを半自動的に証明できるようにした.
このモデル化により,現実的な工数で網羅性が
担保できることをケーススタディで確認した.
サービス間通信の設計
【ACID】
整合性 強
障害に弱い
【BASE】
整合性 弱 (結果整合性)
障害に強い
(回復後にリトライ)
リトライ時に不整合を発生させない
更新ロジックの設計が必要.
設計検証ツール
RDBを使うシステムをターゲットとして,更新トラ
ンザクションの設計をCoqで検証するため,
RDBモデルと検証式を定義.
Coqのタクティク(証明手続き記述言語)により,
証明の自動化を試みた.
作成部分
設計書
冪等: f(f(x))=f(x)
可換: f(g(x))=g(f(x))
⇒リトライ可能
トランザクション
トランザクション
トランザクション
DDL
変換
f, g : 更新トランザクション
x : 任意のシステム状態
設計の困難性
• レビューやテストで全条件を網羅するのは困難.
• 検証課題の組み合わせ爆発が起こる.
(更新操作数nに対して計2n+nC2個の検証課題)
RDBモデル
• SQLから機械的に変換できるよう,RDBモデルを作成
⇒設計者の負担軽減
• 汎用的な自動化が難しい定理証明を,ドメインを限定する
ことで半自動化 ⇒検証者の負担軽減
ケーススタディによる効果測定
• 実際によく使われるロジックを一部抜き出しで検証
通話履歴サービス,トラブルチケットシステム,銀行振り込みサービス
• 自動証明 ⇒ 検証課題1個あたり数十秒(×2n+nC2)
• 手動証明(一部) ⇒ 3~7ステップ程度で証明完了.
• 不成立時 ⇒ 反例分析は,前提を目視により確認し,
原因を設計者にフィードバック.
検証式
(冪等・可換)
証明
半自動証明
手続き
定理証明支援系 Coq
ツールの効果
ツール作成のポイント
証明手続き(手動)
トランザクション設計モデル
考察
ツール比較
モデル検査
(SPIN等)
抽象化
検証コード 検証 検証結果
全自動
(要 専門知識)
変換
手動証明
設計
検証コード
検証結果
Coq
機械的
⇒半自動化
設計から検証コードを作るまでは,定理証明の専門知識は不要.
検証は定理証明の専門家が実施(業務知識は不要).
設計者⇔検証者の分業が可能.
⇒導入・展開が比較的容易
設計
今後の課題
• 複雑なトランザクションロジック変換時のミス低減
DSLを定義し,プログラムと検証コードの両方を
自動的に生成できるツールを作ることで解決可能.
• 検証時の不成立を減らすことによる検証工数の低減
証明済みデザインパターンを用意し,検証前に
可能な限り正しく設計することで解決可能.
国立情報学研究所
トップエスイー
トップエスイー: サイエンスによる知的ものづくり教育プログラム
National Institute of Informatics
~サイエンスによる知的のものづくり教育プログラム~
文部科学省科学技術振興調整費
産学融合先端ソフトウェア技術者養成拠点の形成